五、跨域问题——Cors Filter

最新推荐文章于 2024-07-15 23:05:19 发布
最新推荐文章于 2024-07-15 23:05:19 发布
阅读量1.7k 收藏 19
点赞数 33
文章标签: java 开发语言 前端 xss csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Small__BUG/article/details/136259557
版权
本文详细介绍了CORSFilter在JavaWeb应用中的使用,包括如何通过Maven依赖引入、配置参数如允许的源地址、HTTP方法、响应头等,以实现跨域资源共享功能。
摘要由CSDN通过智能技术生成

官方文档地址:CORS Filter : Cross-Origin Resource Sharing for Your Java Web Apps (dzhuvinov.com)

1.1、 引用方式

  • xml

<dependency>

<groupId>com.thetransactioncompany</groupId>

<artifactId>cors-filter</artifactId>

<version>[ version ]</version>

</dependency>

  • xml

<filter>

<filter-name>CORS</filter-name>

<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>

</filter>

<filter-mapping>

        <filter-name>CORS</filter-name>

        <url-pattern>/*</url-pattern>

</filter-mapping>

1.2、 配置参数

1.2.1、 cors.allowGenericHttpRequests

默认值为“true”。

  • true:允许一般http/https请求通过过滤器。
  • false:仅允许CORS请求通过过滤器。

建议默认配置“true”。

1.2.2、 cors.allowOrigin

默认值为“*”。

用于配置CORS过滤器允许的源地址列表。

如果允许所有源地址,则设置为“*”。

未被允许的源地址请求将直接被返回403状态——禁止(拒绝)请求。

建议默认配置“*”。

1.2.3、 cors.allowSubdomains

默认值为“false”。

  • true:允许源地址的所有子域名相关的源地址通过CORS过滤器。
  • false:不允许源地址的所有子域名相关的源地址通过CORS过滤器。

建议默认配置“false”。

注:子域通过比较其组合和后缀(主机名/IP地址和可选端口号)进行匹配。

1.2.4、 cors.supportedMethods

请求头参数为“Access-Control-Allow-Methods”。

默认值为“GET, POST, HEAD, OPTIONS”。

支持的http/https方法请求方式,如果前台请求方法所采用的方式不属于其中的内容,将被CORS过滤器拦截,并返回405状态——“不允许使用方法”,拒绝响应。

建议默认配置“GET, POST, HEAD, OPTIONS”。

1.2.5、 cors.supportedHeaders

请求头参数为“ Access-Control-Allow-Headers”。

默认值为“*”。

配置“*”时,允许请求头参数通过过滤器。

建议默认配置“Accept, Origin,X-Requested-With, Content-Type,Last-Modified”。

1.2.6、 cors.exposedHeaders

响应头参数为“ Access-Control-Expose-Headers”。

默认值为空。

响应报头指示哪些报头可以公开为通过。

默认情况下,只显示6个简单的响应头,包括“Cache-Control,Content-Language,Content-Type,Expires,Last-Modified,Pragma”。

建议默认配置“X-Test-1,X-Test-2”。

1.2.7、 cors.supportsCredentials

响应头参数为“ Access-Control-Allow-Credentials”。

默认值为“true”。

响应头用于在请求要求包含 credentials(Request.credentials 的值为 include)时,告知浏览器是否可以将对请求的响应暴露给前端 JavaScript 代码,例如cookies、authorization headers、TLS client certificates之类的。

  • true:允许。
  • false:不允许。

建议默认配置“true”。

1.2.8、 cors.maxAge

响应头参数为“ Access-Control-Max-Age”。

默认值为“-1”。

这个响应头表示preflight request(预检请求)的返回结果(即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息)可以被缓存多久。

建议默认配置“3600”。

1.2.9、 cors.tagRequests

默认值为false。

是否启用请求标记,以便在整个后端服务(filter/servlet)请求处理链路中均可以获取请求的CORS信息。

  • true:开启。
  • false:不开启。

建议默认配置“true”。

请求标记包含以下四项:

  1. isCorsRequest:标记请求是否为跨域请求,值为“true或false”。
  2. origin:标记请求的源地址,未定义时为“null”。
  3. requestType:如果为跨域请求时,该请求标记主要标记当前正在进行的是真实(actual)请求,还是预检(preflight)请求,值为“actual或preflight”。
  4. requestHeaders:如果当前为跨域请求且为预检方式,则可获取“Access-Control-Request-Headers”的值,如果未定义,则为“null”。
Small-BUG
关注
  • 33
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
thetransactioncompany.cors.CORSFilter jar包
03-16
com.thetransactioncompany.cors.CORSFilter 所需jar包
SpringBoot 解决跨域问题的 5 种方案!
程序员高级码农的博客
01-17 1610
跨域问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决跨域问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部跨域、通过配置文件实现全局跨域、通过 CorsFilter 对象实现全局跨域、通过 Response 对象实现局部跨域,通过 ResponseBodyAdvice 实现全局跨域。
CorsFilter 跨域请求安全限制应用案例分析
最新发布
肖哥弹架构博客
07-15 663
`CorsFilter` 用于处理跨源资源共享(CORS)的过滤器。它允许配置CORS策略,使得服务器能够响应来自不同源的请求。
CORSFilter过滤器作用于自定义过滤器之后造成的跨域问题(SpringBean IOC执行优先级)
huofuman960209的博客
03-13 8018
CORSFilter过滤器作用于自定义过滤器之后造成的跨域问题介绍背景问题分析排查确认问题解决总结相关知识 介绍 项目中使用了自定义的Filter,然后加了用于解决前端跨域问题CORSFilter配置,之前可能不存在跨域验证Token的问题,这次突然前端访问全部报了Token验证失败问题,“没有携带令牌”,因为跨域而造成的Token拿不到,但是已经配置了CORSFilter允许Cookie跨域等,进而开始排查之路。 背景 前端访问后端接口,报未携带令牌(Token); 登录后仍无效,登录逻辑无问题; 本
跨域之CorsFilter
weixin_52236586的博客
04-09 3189
跨域之CorsFilter
SpringBoot在使用SpringSecurity时,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 6263
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
CORS Filter
热门推荐
xiaofeixiaqing的专栏
04-26 1万+
原文来自:CORS Filter CORS Filter是适用于支持Java web应用跨源资源共享(CORS)的首个统一解决方案。而跨源资源共享(CORS)是W3C近期一直致力于引入的保障从web浏览器到处理请求的服务器之间跨域请求的标准化机制。 早期web浏览器为防止用户秘密信息泄露给第三方不同程度强制推行同源策略。同源策略在2000年早期转换为创新性XMLHttpRequest。
cors-filter-2.5.jar
09-07
标题中的“cors-filter-2.5.jar”是一个Java Web应用程序使用的库,专门用于处理跨域资源共享(CORS)的问题。CORS是一种机制,允许Web应用通过浏览器从不同源(即非同源策略允许的源)获取资源,以克服浏览器的同源...
arcgis server10.2跨域(cors-filter-1.7,java-property-utils-1.9)
12-03
在这个场景中,我们关注的是如何解决ArcGIS Server在处理跨域请求时的问题,这涉及到Web开发中的一个重要概念——跨域资源共享(CORS)。 跨域是Web浏览器为了安全起见实施的一种策略,限制了JavaScript从一个源...
tomcat允许跨域——java-property-utils-1.10.jar、cors-filter-2.10.jar
05-15
1)将java-property-utils-1.10.jar、cors-filter-2.10.jar放置于tomcat安装目录下的lib文件夹;2)编辑conf目录下的web.xml,设置filter; 3)重启tomcat。
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
本压缩包包含了在三种主流服务器——Apache、Nginx和Tomcat上设置CORS的方法。 **Apache服务器** Apache服务器可以通过修改`.htaccess`文件或者配置httpd.conf文件来实现CORS设置。在`.htaccess`文件中,可以添加...
解决tomcat跨域问题的jar包
12-01
本篇文章将详细探讨如何利用提供的jar包——cors-filter-1.7.jar 和 java-property-utils-1.9.jar来解决Tomcat服务器上的跨域问题。 跨域(Cross-Origin)是浏览器的一种安全机制,它限制了JavaScript只能向同源...
SpringBoot Cors配置+原理分析(corsfilter
z69183787的专栏
06-24 3895
(951条消息) 跨域的那些事 - CorsWebFilter 跨域源码分析(二)_Lewis·fk的博客-CSDN博客_corswebfilterhttps://blog.csdn.net/fk1778770286/article/details/115734587一文弄懂 CORS 跨域(前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot跨域设置(CORS)_骑个小蜗牛的博客
跨域过滤器CORSFilter
人不风流枉少年
02-24 1万+
CORSFilter@Component public class CORSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest
CORSFilter解决前端跨域请求问题
Town
12-12 7619
前后端分离的项目,测试的时候与前端联调的出现了跨域请求的问题。浏览器默认会向后端发送一个Options方式的请求,根据后端的响应来判断后端支持哪些请求方式,支持才会真正的发送请求 No 'Access-Control-Allow-Origin' header is present on the requested resource.错误,一般是由于CORS跨域验证机制设置不正确导致的。 我的项...
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 5422
一、什么是CORSCORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。 CORS Header Acce..
Spring Boot3 跨域配置 Cors
xdpcxq1029的博客
01-19 1146
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
SpringBoot CORS 后台服务加一个过滤器 CorsFilter 解决跨域资源访问问题 方便本地环境前后端联调
wuyujin1997的博客
09-26 1835
最简单,也最管用的方式就是:让后端开发去修改服务端代码的逻辑(跨域请求访问规则),重启应用。哪怕只是本地联调临时的呢。而如果后端使用的是 SpringBoot 框架,如何快速修改多个web接口的响应头规则呢?就是限定一下请求方法的范围:哪些请求方法过来,我后端对你提供服务/让你访问?不考虑服务端使用的语言/框架等,要做的事其实是修改以下几个 HTTP响应头 的值。就是看origin头的值是否在允许的origin范围内。在本地做前后端联调的时候,几乎避不开的问题:跨域资源访问 CORS
CorsFilter
08-23
CorsFilter是一个用于处理跨域请求的过滤器。它可以在Java Web应用程序中使用,通过设置HTTP响应头部信息来允许或拒绝跨域请求。 对于一个跨域请求,浏览器会发送一个预检请求(OPTIONS请求)来检查服务器是否允许该请求。CorsFilter可以通过配置允许的域名、请求方法、请求头等信息,来判断是否允许该跨域请求。 在处理跨域请求时,CorsFilter可以帮助解决一些常见的安全问题,例如跨站点脚本攻击(XSS)和跨站点请求伪造(CSRF)。 需要注意的是,CorsFilter只是解决跨域请求的一种方式,还有其他方法可以实现跨域请求的处理,例如在服务器端配置CORS(跨域资源共享)规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Small-BUG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值